JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ВЗЛОМ<br />
Владимир d0znp Воронцов ONsec<br />
ÌÎËÎÒÊÎÌ<br />
ÏÎ ÁÈÒÐÈÊÑÓ!<br />
ÂÛßÂËßÅÌ 0DAY-ÓßÇÂÈÌÎÑÒÈ ÏÎÏÓËßÐÍÎÉ CMS<br />
Îêîëî ãîäà íàçàä ÿ íàøåë XSS-óÿçâèìîñòü â ïðîäóêòå 1Ñ-Áèòðèêñ, êîòîðóþ ïîêàçàë<br />
â ðîëèêå õàê-âèäåî íà CC09. Ïðîøåë ãîä, è ìíå ñòàëî èíòåðåñíî, ÷òî æå èçìåíèëîñü<br />
â ïðîäóêòå ñ òî÷êè çðåíèÿ áåçîïàñíîñòè? Íàïîìíþ, Áèòðèêñ — ïðîäóêò íåïðîñòîé,<br />
îí èìååò âñòðîåííûé ôèëüòð WAF, òî åñòü äëÿ ïðîâåäåíèÿ áîëüøèíñòâà àòàê ìàëî<br />
ïðîñòî íàéòè óÿçâèìîñòü, òðåáóåòñÿ åùå îáîéòè WAF. À îáîéòè åãî, ïîâåðü, î÷åíü<br />
íåëåãêî...<br />
ÏÐÅÄÛÑÒÎÐÈß<br />
Во время чтения множества статей по безопасности и описаний уязвимостей<br />
мне всегда становится интересно, какие действия исследователя<br />
предшествовали нахождению той или иной уязвимости. Интересно лишь<br />
с одной целью — понимать, какие шаги делал исследователь, какие<br />
попытки предпринимал, что не получилось, какие средства и утилиты он<br />
использовал. Выясняя все это, можно сильно расширить свой кругозор,<br />
а нередко и просто довести до ума какие-то незавершенные идеи. Кроме<br />
того, вводные части очень разбавляют технический текст и делают<br />
его интереснее. Как говорится, «хочешь сделать мир лучше — начни с<br />
себя», поэтому постараюсь описать весь процесс поиска уязвимостей<br />
как можно более подробно.<br />
А началось все с Форба, который как всегда ненавязчиво предложил<br />
написать образцовую статью на тему взлома CMS. На тот момент у меня<br />
была только одна заготовка — идея использования атрибута filesize для<br />
hijacking в Internet Explorer. Это была действительно сырая идея, хотя<br />
и пришлась по нраву Дэну Камински (seclists.org/fulldisclosure/2010/<br />
Apr/288). В любом случае, на добротную статью этого явно не хватало.<br />
Пообещав Форбу ответить до вечера, я попробовал использование атрибута<br />
filesize в демо-версии Internet Explorer 9. Разработчики обещали<br />
поддержку формата SVG в тэге IMG, и, надеясь, что filesize будет определяться<br />
не только от SVG, но и от любого другого XML, можно было заюзать<br />
его для определения размера любых XML-ответов веб-приложения,<br />
что уже очень немало. Но, к сожалению, фортуна повернулась мягким<br />
местом, и filesize от XML всегда возвращал 0. Твердо решив написать<br />
новую и интересную статью, я стал просматривать веб-приложения,<br />
которые было бы интересно исследовать. Одним из первых в этом списке<br />
был 1С-Битрикс, на котором я и остановился. К слову, Битрикс — очень<br />
интересный движок, непростой, проверенный аудиторами, имеющий<br />
встроенные механизмы защиты от проведения атак. На эти механизмы<br />
есть сертификат по «соответствию требованиям Web Application Firewall<br />
Evaluation Criteria международной организации Web Application Security<br />
Consortium», кроме того, система имеет сертификат ФСТЭК по классу защиты<br />
от несанкционированного доступа. Так что исследование обещало<br />
быть интересным. Последний раз до этого я интенсивно изучал Битрикс<br />
версии 8.0.5 на CC09, где предлагалось обойти фильтр WAF, который<br />
препятствует проведению атак. На момент написания статьи актуальной<br />
версией была 9.0.3, которая, ко всему прочему, обзавелась новым механизмом<br />
защиты — «веб-антивирусом». Загрузив последнюю версию<br />
движка с официального сайта, я принялся за работу.<br />
ÏÅÐÂÛÉ ÁÀÃ — ÊÎËÎÌ!<br />
Первым делом я решил провести проверку системы ручным способом, просто<br />
щелкая по менюшкам и изучая функционал. Буквально сразу обратил<br />
066 XÀÊÅÐ 09 /140/ 10